Mettez tout dans l’API

C’est un fait, la PSD2, comme son nom l’indique, concerne les comptes de paiement. De vastes interprétations et débats ont toujours lieu au sein de chaque pays pour savoir ce qu’est un compte de paiement ou pas. L’ACPR en France le définit comme un compte ouvert auprès d’un prestataire de services de paiement (PSP). Il peut donc s’agir :

  • d’un compte bancaire ouvert dans un établissement de crédit ;
  • d’un compte ouvert dans un établissement de paiement. Ce compte est alors utilisé exclusivement pour la réalisation d’opérations de paiement et ne peut être débiteur.

Dans un amendement, le Sénat propose d’étendre aux comptes d’épargne et de crédit les dispositions européennes prévues pour les agrégateurs de comptes.

Cela a son importance car certains ASPSP souhaitent restreindre les API au champ minimal (à savoir les comptes de paiement), et les TPPs devront (car ils n’en auront pas l’interdiction) scraper les autres comptes.

Néanmoins, la position la plus intelligente que peuvent prendre les ASPSP, et que nous ne pouvons qu’encourager, est de tout mettre dans l’API et donc d’y inclure les « autres comptes ».

Les TPPs sont, souvent, décrits comme des cowboys, des pirates, qui s’infiltrent dans les systèmes d’informations des banques pour extorquer leurs données. Or, le scraping n’a pas été un choix, il a été une contrainte. L’ensemble des acteurs français et européens qui faisaient du scraping ont été enchantés par la perspective d’un cadre légal autour de leur activité et par la possibilité d’accéder aux ressources de leurs utilisateurs par un canal sécurisé.

Car il ne faut pas le perdre de vue, c’est bien pour servir leurs utilisateurs, qui donnent leur consentement, que les TPPs scrapent.

Le fait que les banques souhaitent empêcher le scraping est tout à fait louable, néanmoins, si elles ne souhaitent pas être scrapées, elles ont tout intérêt à mettre l’ensemble des données et des comptes au sein de leur API.